Điện toán bí mật và những điều bạn cần biết

Tháng Bảy 26, 2021
Nga Pham

Tất cả chúng ta đều xử lý rất nhiều dữ liệu nhạy cảm và các doanh nghiệp ngày nay thường phải giao phó toàn bộ dữ liệu nhạy cảm này cho các nhà cung cấp dịch vụ đám mây của họ. Với các hệ thống tại chỗ, các công ty từng có khái niệm rất rõ ràng về việc ai có thể truy cập dữ liệu và ai là người chịu trách nhiệm bảo vệ dữ liệu đó. Nhưng giờ đây, dữ liệu tồn tại ở nhiều nơi khác nhau, tại chỗ, hoặc ở trên đám mây.

Bạn có thể đã biết Google Cloud mặc định hỗ trợ mã hóa cho dữ liệu khi nó đang chuyển tiếp hoặc ở trạng thái nghỉ, nhưng bạn có biết rằng Google Cloud cũng cho phép bạn mã hóa dữ liệu đang sử dụng – trong khi nó đang được xử lý không? Bài viết này sẽ mang đến cho bạn một cái nhìn tổng quan về Điện toán bí mật tại Google Cloud.

Bài viết bao gồm các nội dung từ podcast Confidentially Speaking từ Cloud Security, được trình bày bởi Trưởng bộ phận Chiến lược Giải pháp Anton Chuvakin và Giám đốc Sản phẩm Timothy Peacock của Google Cloud.

Điện toán bí mật là gì?

Confidential Computing (Điện toán bí mật) của Google Cloud đã bắt đầu với ước mơ tìm ra phương pháp bảo vệ dữ liệu khi chúng đang được sử dụng. Google Cloud đã phát triển công nghệ đột phá để mã hóa dữ liệu khi chúng đang được sử dụng, tận dụng các máy ảo bí mật và GKE Nodes để giữ mã nguồn và các dữ liệu khác trong tình trạng mã hóa khi dữ liệu đang được xử lý trong bộ nhớ. Ý tưởng của họ là đảm bảo dữ liệu được mã hóa vẫn ở chế độ riêng tư trong khi được xử lý, giảm thiểu khả năng bị lộ với bên ngoài.

Cách tiếp cận của Google Cloud dựa trên khả năng của phần cứng và CPU. Điện toán bí mật được xây dựng dựa trên thế hệ bộ xử lý CPU AMD mới nhất, với tiện ích mở rộng Ảo hóa được mã hóa an toàn (Secure Encrypted Virtualization), cho phép phần cứng tạo ra khóa mã hóa (encryption keys) tạm thời và được liên kết với một máy ảo duy nhất. Về cơ bản, chúng không bao giờ được lưu trữ ở bất kỳ nơi nào khác và không thể bị giải nén. Do đó, phần mềm khác sẽ không bao giờ có quyền truy cập vào các khóa đó.

“Bạn có thể làm bất cứ điều gì bạn cần, nhưng bạn sẽ ở trong một không gian biệt lập bằng mật mã mà không người lạ nào đi ngang qua có thể nhìn thấy.”

Bộ điều khiển bộ nhớ sẽ sử dụng các phím để nhanh chóng giải mã các dòng trong bộ nhớ cache khi bạn cần thực hiện một lệnh và sau đó sẽ mã hóa lại chúng ngay lập tức. Dữ liệu được giải mã trong CPU nhưng vẫn được mã hóa trong bộ nhớ.

Lý do Điện toán bí mật sẽ tiếp tục đóng vai trò trung tâm trong tương lai của Điện toán đám mây chính là vì việc bảo mật dữ liệu trong khi chúng được sử dụng – một trong những lỗ hổng lớn nhất mà các công ty đang tìm cách che đậy. Dữ liệu của các công ty được mã hóa tại chỗ hoặc trong kho lưu trữ đám mây, nhưng họ sẽ gặp phải rủi ro lớn nhất khi bắt đầu làm việc với dữ liệu đó. Hãy tưởng tượng bạn đã mã hóa dữ liệu của mình tại chỗ và chỉ mình bạn giữ chìa khóa, sau đó bạn tải chúng lên các bucket trên đám mây. Một cách đơn giản, an toàn và bảo mật.

Nhưng giờ đây, bạn muốn huấn luyện các mô hình học máy dựa trên dữ liệu đó. Khi bạn tải chúng lên môi trường của mình, chúng không còn được bảo vệ nữa. Hay nói một cách cụ thể, dữ liệu dành trong bộ nhớ riêng không được mã hóa.

Google Cloud đang cố gắng bảo đảm rằng dữ liệu của bạn luôn được bảo vệ dù ở bất kỳ trạng thái nào mà nó tồn tại. Vì vậy, ít người có khả năng mắc lỗi hoặc cố tình làm lộ dữ liệu của bạn.

Những điều cần biết về Điện toán bí mật

Google đã cố gắng mang lại một phương pháp tiếp cận đơn giản

Google đã đầu tư rất nhiều thời gian và nỗ lực trong việc điều tra các khả năng (và hạn chế) của Điện toán bí mật để tránh khả năng xảy ra các rủi ro còn sót lại trong phương pháp tiếp cận của họ. Lấy ví dụ, sự ra đời sớm của phần cứng có khả năng tính toán bí mật trong ngành đòi hỏi các nhóm CNTT phải có nguồn lực để viết lại hoặc tái cấu trúc ứng dụng của họ, ảnh hưởng nghiêm trọng đến khả năng thích ứng trong tổ chức của họ.

Với Điện toán bí mật, các nhóm có thể mã hóa dữ liệu đang được sử dụng mà không cần thực hiện bất kỳ thay đổi nào trong mã nguồn ứng dụng của họ. Tất cả khối lượng công việc của Google Cloud có thể được chạy dưới dạng máy ảo bí mật, được kích hoạt bằng một checkbox, giúp quá trình chuyển đổi sáng điện toán bí mật hoàn toàn đơn giản và liền mạch.

“Rất nhiều khách hàng hiểu được các giá trị của tính toán bí mật, nhưng họ đơn giản chỉ là không thể viết lại mã nguồn của toàn bộ ứng dụng. Đó là lý do tại sao Google Cloud quyết định tiếp cận theo một cách khác và sử dụng các mô hình cực kỳ dễ thực hiện, đảm bảo không tạo ra bất cứ rào cản nào đối với khách hàng.”

Confidential Computing không chỉ dành riêng cho Fintech

Tất nhiên, Điện toán bí mật có một số trường hợp sử dụng tiêu biểu trong các công ty có yêu cầu tuân thủ cao (highly-regulated) hoạt động trong lĩnh vực tài chính, chính phủ, khoa học đời sống và công cộng, song ngay cả những chuyên ngành khác không có quy định hoặc yêu cầu tuân thủ đáng kể cũng sẽ quan tâm đến công nghệ này, chủ yếu là để giải quyết những lo ngại về quyền riêng tư.

Nhiều công ty xem Điện toán bí mật là một cách để tạo ra sự cô lập mật mã trong đám mây công cộng, giúp họ giảm bớt mối lo ngại của người dùng hoặc khách hàng về những gì họ đang làm để bảo vệ dữ liệu nhạy cảm. Chẳng hạn như sự gia tăng số lượng các tổ chức nghiên cứu nhỏ muốn cộng tác trên các tập dữ liệu lớn về dữ liệu nhạy cảm trong đại dịch Covid-19.

“Trước khi có điện toán bí mật, bạn không thể cộng tác nếu bạn cần chia sẻ các tập dữ liệu vô cùng nhạy cảm giữa nhiều bên song vẫn đảm bảo không một ai trong số họ có thể truy cập vào dữ liệu này, nhưng kết quả cần mang lại lợi ích cho tất cả mọi người.”

Một cộng đồng cởi mở, cộng tác là chìa khóa cho tương lai

Google Cloud cũng chia sẻ về kế hoạch mở rộng bộ nhớ, không chỉ CPU mà còn GPU, TPU và FPGA. Họ đang làm việc với nhiều nhà cung cấp và công ty trong ngành để phát triển các giải pháp điện toán bí mật đáp ứng các yêu cầu và trường hợp sử dụng cụ thể.

Điện toán bí mật sẽ không thể được chinh phục bởi một tổ chức duy nhất. Nó đòi hỏi sự tham gia của nhiều bên. Google Cloud là một thành viên của Hiệp hội Điện toán Bí mật, nhằm giải quyết các vấn đề bảo mật cho dữ liệu đang được sử dụng, cùng với những nhà cung cấp khác như Red Hat, Intel, IBM và Microsoft.

“Riêng mình Google sẽ không thể thực hiện điện toán bí mật. Chúng tôi cần đảm bảo rằng tất cả các nhà cung cấp, GPU, CPU và tất cả chúng đều tuân thủ (những quy tắc chung). Một phần của mô hình tin cậy đó là các khóa và phần cứng của ben thứ ba mà chúng tôi đang tiết lộ với một khách hàng.”

Không có một giải pháp dễ dàng nào khi nói đến bảo mật

Điện toán bí mật vẫn còn là một công nghệ mới nổi, rất mới và không có gì ngạc nhiên khi có rất nhiều câu hỏi được đặt ra về chức năng và cách thức hoạt động của nó. Điều quan trọng bạn cần ghi nhớ chính là không có giải pháp bảo mật một công cụ phù hợp để đối phó với tất cả các mối đe dọa. Điện toán bí mật chỉ là một công cụ có thể được thêm vào kho vũ khí bảo mật của bạn.

“Không có giải pháp nào là một vien đạn ma thuật khiến mọi người hạnh phúc và an toàn, được bảo vệ. Tuy nhiên, điện toán bí mật là một phần bổ sung cho hộp công cụ phòng thủ của chúng ta trước những lỗ hổng mà ta phải cực kỳ nghiêm túc và đầu tư để giải quyết.”

Trên đây là những tóm tắt về cuộc trò chuyện của Trưởng bộ phận Chiến lược Giải pháp Anton Chuvakin và Giám đốc Sản phẩm Timothy Peacock tại Google Cloud. Bạn có thể nghe toàn bộ cuộc trò chuyện của họ tại đây.

Theo Google Cloud Blog